9. Bố cục luận văn
3.3. Giải pháp phát triển dịch vụ ngân hàng điện tử tại Ngân hàng TMCP Ngoạ
3.3.3.2. An ninh và bảo mật
Hiện nay Vietcombank đã áp dụng các chuẩn mực ISO/IEC –27001:2013 trong công tác quản lý an toàn thông tin trên toàn hệ thống. Tuy nhiên trong bối cảnh cách mạng công nghiệp 4.0, với sự bùng nổ của công nghệ như Big Data, Cloud Services, Trí tuệ nhân tạo, Kết nối vạn vật... ngân hàng phải đối mặt với rất nhiều rủi ro và hiểm hoạ về mất an toàn thông tin. Hệ thống xuất hiện nhiều lỗ hổng dễ khai thác, gián điệp kinh tế, rủi ro từ thiết bị di động và thiếu hiểu biết về thao tác bảo mật cơ bản từ nội bộ gây thất thoát dữ liệu... An toàn bảo mật là cả một quá trình và là sự kết hợp của nhiều thành phần bảo mật khác nhau như bảo mật vật lý, bảo mật hạ tầng mạng, bảo mật hệ thống, bảo mật host, bảo mật ứng dụng, bảo mật
dữ liệu, bảo mật cho người dùng… Vì thế VCB Gia Lai cần xây dựng chương trình
đào tạo cho nhân viên về công tác bảo mật. Phải được thực hiện bài bản từ khâu giáo trình có hệ thống mang tính thời sự đến sự kết hợp hài hòa giữa con người, công nghệ và quy trình. Khi làm được điều này Chi nhánh đã chủ động một bước trước những rủi ro về bảo mật.
Trong một dự án nghiên cứu về mức độ nguy hiểm khi các thiết bị di động bị đánh cắp của hãng Symantec (2014), 83% thiết bị sau khi bị đánh cắp đã được sử
dụng để truy cập vào các ứng dụng hay dữ liệu kinh doanh; 45% thiết bị bị sử dụng để truy cập vào email của công ty… Đây rõ ràng là một con số đáng báo động cho doanh nghiệp, nhất là ngân hàng khi ứng dụng các thiết bị cá nhân vào môi trường làm việc. Chính vì thế Chi nhánh Gia Lai cần phải có một giải pháp cho tình trạng tránh tình trạng sao chép dữ liệu ra ngoài từ nội bộ ngân hàng. Từ đó giúp ngân hàng có thể quản lý hoàn toàn, dữ liệu và các ứng dụng trên thiết bị di động của nhân viên. Một nghiên cứu của Xerox-McAfee (2014) chỉ ra có đến 51% người được kháo sát (nhân viên tại những nơi làm việc có sử dụng máy in, fax, scan chung) tiết lộ rằng họ đã sao chép, in ấn các thông tin bí mật tại nơi làm việc; 54% người lao động không tuân theo các quy định về bảo mật của công ty họ. VCB Gia Lai cần thiết lập các quy định về bảo mật in ấn trong nội bộ, hoặc ứng dụng các máy in bảo mật (chỉ có người bấm nút in tài liệu mới có password để lấy được đúng tài liệu của họ từ máy in)… Điều này sẽ giúp giảm thiểu tối đa những rủi ro rò rỉ thông tin khách hàng hay bất cứ một tài liệu mật nào khác trong nội bộ.
VCB Gia Lai phải quản lý, thường xuyên rà soát hệ thống ứng dụng, máy chủ, máy trạm để cập nhật kịp thời các bản vá lỗ hổng để ngăn ngừa tội phạm xâm nhập tấn công vào hệ thống. Bên cạnh đó, Chi nhánh cần trang bị các giải pháp tăng cường an toàn, an ninh mạng như hệ thống quản lý sự kiện an ninh, hệ thống phòng chống thư rác, hệ thống lọc nội dung web, hệ thống quản lý file nhật ký... Tác giả đưa ra một số công việc cụ thể cho Chi nhánh cần làm để tăng tính an toàn bảo mật cho hệ thống:
Chống tấn công DDOS ( Distributed Denial of Service): ngăn chặn các cuộc tấn công DDOS ở mức ứng dụng và mạng để đảm bảo các dịch vụ vẫn hoạt động mà không bị gián đoạn.
Dò quét các lổ hổng mạng an ninh: cung cấp báo cáo toàn diện về các lỗ hổng an ninh trong hệ thống và đưa ra các cảnh báo theo thời gian thực. Phòng chống spam/thư rác: ngăn chặn các thư rác, thư điện tử lừa đảo, đảm
bảo hệ thống thư điện tử được an toàn.
ngăn chặn các mã độc chưa có signature, bảo vệ hệ thống trước các cuộc tấn công có chủ đích.
Giám sát truy cập: bảo đảm các thiết bị phải tuân thủ theo chính sách trước khi truy cập vào hệ thống.
Bảo mật đầu cuối: ngăn chặn các mã độc, virus xâm nhập vào các thiết bị đầu cuối, cũng như áp dụng các chính sách kiểm soát các tài liệu nào được phép gởi ra ngoài.
Quản lý tài khoản đặc quyền: hỗ trợ giám sát, quản lý các tài khoản đặc quyền trên hệ thống. Theo dõi và giám sát các hành vi sử dụng tài khoản đặc quyền để truy cập trên hệ thống.
Nâng cao nhận thức cho KH trong việc bảo đảm an toàn bảo mật các giao dịch trực tuyến, VCB tăng cường công tác truyền thông đến KH về các thủ đoạn của tội phạm mạng và các biện pháp bảo vệ thông tin cá nhân trong việc sử dụng các dịch vụ NHĐT và thanh toán thẻ. Để người dùng hiểu biết những nguy cơ và áp dụng những phương pháp phòng tránh phù hợp.